Działanie 1 – Ocena jakości rozwiązań poprzez realizację scenariuszy wykorzystujących pliki nieznane wcześniej testowanemu rozwiązaniu
Prace te mają na celu ocenę jakości rozwiązań w zakresie identyfikacji i zablokowania ataku, jak również ograniczenia ich skutków i identyfikacji mechanizmów odzyskiwania sprawności działania atakowanego systemu. Zakładamy wykorzystanie infrastruktury informatycznej do przesłania, zapisania oraz uruchomienia plików przygotowanych na potrzeby testów, nieznanych testowanemu rozwiązaniu, mających charakterystykę złośliwego oprogramowania a jednocześnie niebędących złośliwym oprogramowaniem, dalej zwanymi „plikami testowymi”.W ramach Działania 1, zrealizowane zostaną scenariusze ataków, m.in.:
- pobierania i uruchamiania plików z serwerów znajdujących się w Internecie,
- wykonywania dużej liczby operacji na plikach w krótkim czasie (w tym kryptograficznych).
- umieszczenie ich w innych plikach uznawanych za bezpieczne (np. dokumenty pakietu Office, pliki PDF, plik archiwum),
- użycie zmienionych i/lub niestandardowych rozszerzeń,
- zaszyfrowanie ich zawartości.
W celu przesłania plików testowych, zdefiniowane zostały poniższe przykłady scenariuszy ataków, które zostaną doprecyzowane i uzupełnione o wyniki przeglądu architektury mechanizmów antymalware:
- próby załączenia pliku jako załącznik poczty e-mail,
- próby wykorzystania komunikatorów sieciowych, używanych przez pracowników,
- próby wykorzystania systemu kontroli wersji oprogramowania, używanego przez programistów,
- próby zapisania pliku na zasobie sieciowym, który jest dostępny na atakowanym urządzeniu,
- próby wykorzystania narzędzi dostępnych dla pracowników (np. stworzonej strony SharePoint w intranecie, lub mobilnych wersji aplikacji umożliwiających przesyłanie plików),
- próby pobrania i zapisania plików z zewnętrznego serwera (np. WWW z wykorzystaniem protokołów HTTP i HTTPS, FTP, SFTP),
- próby wykorzystania zewnętrznego nośnika danych.
Działanie 2 – Ocena jakości rozwiązań poprzez realizację scenariuszy wykorzystujących pliki znane testowanemu rozwiązaniu
W ramach działania 2, zdefiniowane zostaną cechy pliku testowego (np. wartości skrótu SHA-256, adresy IP serwerów z którymi się komunikuje), które następnie zostaną zdefiniowane w badanym rozwiązaniu antymalware jako znane złośliwe oprogramowanie (Indicator of compromise, IoC). Zdefiniowany w ten sposób plik testowy, pozbawiony zostanie innych charakterystyk złośliwego oprogramowania, niezdefiniowanych w tym etapie prac jako IoC.W następnym kroku, powtórzone zostaną czynności mające na celu ukrycie plików testowych, ich rozszerzeń i realizowanych działań, oraz próby ich przesłania i uruchomienia.
Działania te mają na celu ocenę jakości rozwiązań w zakresie identyfikacji i zablokowania ataku, jak również ograniczenia ich skutków i identyfikacji mechanizmów odzyskiwania sprawności działania atakowanego systemu, przy użyciu plików znanych testowanemu rozwiązaniu, a jednocześnie niebędących złośliwym oprogramowaniem. Dla wszystkich realizowanych scenariuszy testów, odnotowane zostaną ich dokładne daty i czas rozpoczęcia i zakończenia.
Etap 3 – ocena jakości rozwiązań poprzez symulację ataków sieciowych
Zostanie wykonana symulacja znanych ataków sieciowych, m.in. poprzez:- identyfikację udostępnionych usług poprzez skanowanie portów TCP/UDP wraz z próbą uzyskania informacji o zainstalowanych wersjach oprogramowania wykorzystując techniki fingerprinting oraz banner grabbing,
- skanowanie udostępnionych usług w celu identyfikacji znanych podatności z wykorzystaniem automatycznych narzędzi i technik manualnych. Podczas naszych prac będziemy wykorzystywali wiodące komercyjne i niekomercyjne narzędzia do analizy bezpieczeństwa środowiska informatycznego.
Działanie 4 – Ocena jakości rozwiązań poprzez analizę interfejsów monitorowania i alarmowania testowanego rozwiązania
W ramach działania 4, przeprowadzona zostanie analiza efektywności mechanizmów monitorowania i alarmowania o zidentyfikowanych zagrożeniach testowanego rozwiązania, poprzez skorelowanie daty i czasu zrealizowanych scenariuszy testowych z interfejsami wyświetlającymi listę zidentyfikowanych ataków badanego rozwiązania antymalware.W następnym kroku, przeprowadzimy analizę zakresu zidentyfikowanych przez rozwiązanie antymalware ataków i podjętych działań alarmowych (np. wysłanie wiadomości e-mail do pracowników), oraz zidentyfikujemy potencjalne działania, które nie zostały wykryte jako atak.
Działania te mają na celu ocenę jakości rozwiązań w zakresie identyfikacji ataku i skutecznego dostarczenia informacji o nim pracownikom.
Działanie 5 – Ocena jakości rozwiązań poprzez identyfikację programowych i/lub sprzętowych mechanizmów ochrony, archiwizacji i odzyskiwania danych
W ramach działania 5, zidentyfikujemy programowe i/lub sprzętowe mechanizmy ochrony, archiwizacji i odzyskiwania danych, mających na celu odzyskanie sprawności działania zaatakowanego systemu informatycznego. Następnie, przeprowadzimy kontrolowany test:- modyfikacji i/lub zniszczenia danych,
- odzyskiwania ww. danych.
Testy efektywności mechanizmów antymalware będą realizowane na przykładowej stacji roboczej oraz serwerze z skonfigurowanym rozwiązaniem antymalware w pełnym zakresie ochrony (np. skrzynka poczty e-mail, lokalny system antywirusowy, ochrona firewall)
Prace będą realizowane z wykorzystaniem plików testowych oraz wiodących komercyjnych i niekomercyjnych narzędzi do analizy bezpieczeństwa środowiska informatycznego. Przygotowane scenariusze testów zostaną z Państwem potwierdzone przed rozpoczęciem prac w tym obszarze, jak również dołożymy wszelkich starań, aby ograniczyć ryzyko nieprzewidzianych skutków naszych testów.
Biorąc jednak pod uwagę, że testowane będzie rozwiązanie antymalware, rekomendujemy zapewnienie wykonania kopii zapasowej testowanego rozwiązania i przekazanych do testów urządzeń przed rozpoczęciem prac.